RoPA

根据GDPR，DPIA应在单个处理或一组导致类似风险的类似处理上执行。因此，ROPA中定义的一个或多个处理是DPIA的主题（如果它们导致高风险）。 在医疗保健中，“处理”可能有多种定义：它可以指特定的护理路径，或指整个门诊环境，或指单个患者的单一诊断检查。

我们首先对GDPR和与DPIA相关的其他来源进行了分析和检查（步骤1，图1），目的是确定与医疗环境中GDPR应用相关的问题。我们决定只考虑GDPR通过后（2016年4月14日）发布的官方和可信文件；除GDPR外，还分析了第29条工作组发布的上述DPIA指南[12]以及法国数据保护局制定和发布的“隐私影响评估（PIA）”方法[13]

数据保护通用条例》（GDPR）使整个欧盟的个人数据保护法律现代化和统一，影响到包括医疗行业在内的所有经济部门。新法规引入了两项具体职责：处理活动记录（ROPA）和每个高风险处理的数据保护影响评估（DPIA）。目前，没有针对医疗环境的具体DPIA方法，但只有适用于所有经济部门的广泛方法。

代表组织数据处理活动的数据源的异质性在完成ROPA时带来了重大挑战。我们的研究旨在确定基于DCAT-AP和DPV的可互操作和机器可读数据处理目录的DPCat规范能够在多大程度上克服源的异质性，以便于编制ROPA。

尽管对GDPR合规性进行了充分研究，但缺乏专门针对ROPA的学术研究。Labadie和Legner[11]将“处理活动记录的维护”确定为组织GDPR数据管理（子）的核心能力。DPCat通过扩展Labadie和Legner的模型将其转化为IT系统能力。此外，DPCat还增加了聚合各种责任数据、与利益相关者交换机器可读ROPA信息、生成DPA特定合规记录以及ROPA数据质量保证机制的子功能（图[图：能力模型gdpr]）

演示了DPCat在表示由欧洲数据保护主管（EDPS）[41]（EDPS）发布的真实世界ROPA文档中的应用，使用SHACL对其进行验证，使用SPARQL查询检索相关信息，并将其导出为RDF图以及符合DPA模板的电子表格。我们为DPCat的实用性和可行性及其在ROPA信息管理过程中的优势提供了证据。

在本节中，我们将介绍同样在线发布的数据处理目录（DPCat）规范(https://w3id.org/dpcat)，解决了已确定的需求，并促进了组织内和组织间异构源信息的管理，以实现以机器可读和互操作的方式表示ROPA。

前一节中描述的CSM-ROPA能够以机器可读和可互操作的方式表示ROPA，并涵盖GDPR和DPA ROPA模板中的信息要求。然而，ROPA在实践中并不是一份单独的文件，而是一组相关的不断发展的信息，必须定期收集和维护。

GDPR要求数据控制员和数据保护官（DPO）维护处理活动登记簿（ROPA），作为监督组织合规流程的一部分。ROPA必须包括来自不同来源的信息，例如具有不同IT系统的（内部）部门和（外部）数据处理器。

现在是成为隐私律师的好时机。 2022 年 10 月 17 日，加州隐私保护局 (CPPA) 发布了《2020 年加州隐私权法案》(CPRA) 规定的下一份法规草案，以及一份解释拟议修改的文件。最近于 2022 年 10 月 21 日至 22 日举行了为期两天的公开听证会。鉴于提议的变更相当广泛，这些似乎不太可能成为最终规定。目前的法规草案长达 72 页。大部分 CPRA 条款自 2023 年 1 月 1 日起生效。虽然 CPRA 的执行要到 2023 年 7 月 1 日才开始，然后在未来的基础上，经修订的 2018 年《加利福尼亚消费者隐私法》之间存在足够的差异(CCPA) 和 CPRA（修订 CCPA）以保证对当前流程、运营和政策的审查。此外，CCPA 规定的 30 天治愈期在 CPRA 下消失了。简而言之，有一些工作要集体做。与此同时，直到 2023 年 6 月 30 日，CCPA（包括现有法规）仍然可以执行。深呼吸。